Недавний отчет показал, что в нескольких популярных приложениях для Android, размещенных в магазине Google Play, обнаружены криптографические уязвимости . Группа исследователей из Колумбийского университета смогла обнаружить их с помощью недавно разработанного инструмента криптографического анализа. Однако на электронные письма исследователей по этому поводу ответили лишь немногие разработчики.
306 популярных приложений, использующих криптографические уязвимости
Согласно сообщению , исследователи, используя новый инструмент под названием CRYLOGGER, проанализировали 1780 приложений Приложения проверялись на основе 26 основных криптографии . Однако в 306 приложениях были обнаружены криптографические ошибки, поскольку они нарушали правила.
правила № 18, № 1 и № 4 нарушались чаще всего. Правило № 18 гласило, что разработчикам не следует использовать небезопасные генераторы псевдослучайных чисел (ГСЧ). Правило № 1 также предупреждало разработчиков о недопустимости использования некорректных хеш-функций, таких как MD2, MD5, SHA1 и других, а правило № 4 предписывало разработчикам не использовать режим работы CBC (сценарии клиент/сервер).
Исследователь высказал мнение, что разработчики приложений должны обладать хорошими знаниями этих правил, как криптографы, прежде чем приступать к разработке удобных в использовании приложений.
На связи находятся всего восемь разработчиков
Между тем, исследователи заявили, что связались с разработчиками приложений, содержащих криптографические ошибки. Однако уязвимости пока не устранены, поэтому исследователи воздержались от публикации информации dent этих приложениях, чтобы избежать их эксплуатации. Они добавили:
«Все приложения популярны: их скачали от сотен тысяч до более чем 100 миллионов раз. […] К сожалению, на наше первое письмо с запросом ответили только 18 разработчиков, и только 8 из них неоднократно перезванивали, предоставляя полезные отзывы о наших результатах»
